Datenschutzrechtliche Einordnung einer Treuhandstelle am Beispiel klinischer Forschung

Treuhandstellen können in unterschiedlichen Bereichen auftreten, wie bei der Vermögensverwaltung oder auch als Immobilien-Treuhand. Insbesondere Krankenhäuser und Universitätskliniken nutzen Treuhandstellen. Zweck der Treuhandstelle im Rahmen von klinischen Studien ist es, Forschung mit Gesundheitsdaten von Probanden durchzuführen, gleichzeitig die Identität der Probanden zu schützen (Grundsatz der Integrität und Vertraulichkeit des Art. 5 Abs. 1 lit. f DSGVO) und den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zu wahren. In der Regel pseudonymisiert die Treuhandstelle die sensiblen Datensätze vor der Übermittlung an die Forschenden, verwaltet die Zuordnungsschlüssel und nimmt ggf. eine Re-Identifizierung der Probanden vor, um diese im Rahmen von klinischen Studien über mögliche neue Erkenntnisse und etwaige Heilungsmethoden zu informieren. Eine Pseudonymisierung liegt gemäß Art. 4 Nr. 5 DSGVO vor, wenn

„die Verarbeitung personenbezogener Daten in einer Weise erfolgt, dass die personenbezogenen Daten ohne die Hinzuziehung zusätzlicher Informationen nicht mehr einer speziellen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und die technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

Unterscheidung „klassische“ Treuhandstelle und Treuhandstelle nach dem DGA

Der Begriff der „Treuhandstelle“ ist nicht gesetzlich definiert. Eine „klassische“ Treuhandstelle kann durch zivilrechtlichen Treuhandvertrag (BGB) entstehen. Es handelt sich um ein privates Vertragsverhältnis. EU-Regularien sind hier nicht zu beachten. Die „klassische“ Treuhandstelle kann sowohl weisungsgebunden agieren als auch eigene oder gemeinsame Zwecke verfolgen, solange dies im zivilrechtlichen Vertrag geregelt und mit den Regelungen in der DSGVO vereinbar ist.

Davon zu unterscheiden ist die Treuhandstelle nach dem Data Governance Act (DGA). Wird eine Leistung von einer Organisation als „Datenmittlungsdienst“ (data intermediation services) in Sinne des DGA erbracht, ist das EU-Recht anwendbar. Der Begriff „Datenmittlungsdienst“ wird in Art. 2 Nr. 11 DGA legaldefiniert. Danach sind Datenmittlungsdienste zusammengefasst

Dienste, die darauf abzielen, einen rechtlichen und technischen Rahmen für die gemeinsame Nutzung von Daten zwischen einer unbestimmten Zahl von Dateninhabern und Datennutzern oder zwischen ihnen und Datenaltruismusorganisationen bereitstellen, einschließlich Dienste zur gemeinsamen Nutzung personenbezogener Daten im Sinne der Verordnung (EU) 2016/679.

Im Unterschied zur „klassischen“ Treuhandstelle müssen sich Treuhandstellen nach dem DGA insbesondere bei einer zuständigen Behörde registrieren lassen. Sie stehen unter ständiger aufsichtsrechtlicher Kontrolle und dürfen weitergegebene Daten nicht für eigene Zwecke nutzen.

Nicht jede Treuhandstelle fällt also automatisch unter eine Treuhandstelle nach dem DGA. Dies muss im jeweiligen Einzelfall überprüft werden.

Auftragsverarbeiter, Verantwortlicher oder gemeinsame Verantwortlichkeit?

Doch wie ist die „klassische“ Treuhandstelle datenschutzrechtlich einzuordnen? Als Auftragsverarbeiter, als Verantwortlicher oder liegt eine gemeinsame Verantwortlichkeit vor?

Eine pauschale Einordnung kann hierbei nicht vorgenommen werden, sondern es hängt vom tatsächlichen Einfluss auf die Zwecke und Mittel der Treuhandstelle ab, was im jeweiligen Einzelfall zu beurteilen ist.

Es sprechen gute Argumente dafür, eine Treuhandstelle als Auftragsverarbeiter anzusehen, wenn diese den Verantwortlichen (das Prüfzentrum) ausschließlich bei der Einhaltung des Grundsatzes der Vertraulichkeit unterstützt, keine eigenen Zwecke verfolgt und personenbezogene Daten ausschließlich weisungsgebunden im Auftrag des Verantwortlichen verarbeitet (vgl. Ehmann/Selmayr/Klabunde/Horváth, 3. Aufl. 2024, DS-GVO Art. 4 Rn. 43). Dies ist bspw. der Fall, wenn das Prüfzentrum über die Zwecke und Mittel der klinischen Forschung und die Studiendurchführung entscheidet. In diesem Fall verwaltet die Treuhandstelle lediglich die Pseudonymisierungsschlüssel und führt die Zuordnung zum jeweiligen Probanden/Patienten durch. Die Treuhandstelle verfolgt keine eigenen Forschungszwecke und entscheidet auch nicht über die Datenverwendung. Als datenschutzrechtliche Folge muss also ein sog. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen dem Verantwortlichen und der Treuhandstelle abgeschlossen werden.

Verarbeitet die Treuhandstelle die pseudonymisierten Gesundheitsdaten auch selbst zu eigenen Zwecken, kann von einer eigenen Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO ausgegangen werden (vgl. Ehmann/Selmayr/Klabunde/Horváth, 3. Aufl. 2024, DS-GVO Art. 4 Rn. 39). Die Treuhandstelle entscheidet hier autonom über den Umgang mit den Identitätsdaten der Studienteilnehmer und nicht nur über die Schlüsselverwaltung im Rahmen der Pseudonymisierung. In diesem Fall muss kein Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und der Treuhandstelle abgeschlossen werden. Vielmehr unterliegt die Treuhandstelle als datenschutzrechtlich Verantwortliche der gesetzlichen Verpflichtung, die Studienteilnehmer über die Verarbeitung ihrer personenbezogenen Daten nach Art. 13 DSGVO selbst zu informieren. Insbesondere hat die Treuhandstelle auch eine sog. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.

Auch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO kann zwischen Prüfzentrum und Treuhandstelle in Betracht kommen, wenn Sponsor und Treuhandstelle gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden (z. B. gemeinsame Entscheidung über die Datenaufbewahrung). In der Konsequenz ist ein sog. Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abzuschließen (vgl. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS-GVO Art. 26 Rn. 16). Darin ist insbesondere zu regeln, welcher Verantwortliche die Information der Probanden über die Verarbeitung ihrer personenbezogenen Daten übernimmt.

Empfehlung

Im Ergebnis kann die datenschutzrechtliche Einordnung der Treuhandstelle nicht pauschal erfolgen, sondern muss im Einzelfall überprüft werden. Um eine Beanstandung durch Datenschutzaufsichtsbehörden zu reduzieren, sollte die Abgrenzung und das Ergebnis der Prüfung jedenfalls dokumentiert werden.